Hackers maken mogelijk adresgegevens Erasmus Universiteit buit

Criminelen hebben mogelijk adresgegevens van mogelijk 25.000 medewerkers en studenten van de Erasmus Universiteit in Rotterdam buitgemaakt. Ook informatie die mensen via webformulieren achterlieten is misschien in handen van de hackers.

ErasmusDe universiteit constateerde de hack afgelopen zondag. Op de server waar de hackers via de site toegang toe kregen stonden geen wachtwoorden van medewerkers en studenten, alleen adresgegevens, meldt de woordvoerster van de universiteit aan Tweakers. Via de webformulieren konden medewerkers en studenten bijvoorbeeld afspraken maken en zich op opleidingen en cursussen inschrijven. Ook die informatie is mogelijk ingezien. Onduidelijk is nog of de data daadwerkelijk weggesluisd is. Het onderzoek loopt nog.

Over de details van de hack kan universiteit nog niets zeggen, maar het onderwijsinstituut heeft direct na de ontdekking de webformulieren van de site offline gehaald, wat een aanwijzing is dat het bijvoorbeeld om een cross site scripting-aanval ging. De universiteit heeft een bedrijf in de arm genomen om onderzoek te doen naar de precieze oorzaak.

Daarnaast heeft de universiteit het incident gemeld bij de Autoriteit Persoonsgegevens en zal de onderwijsinstelling aangifte bij de politie doen. De universiteit benadrukt dat de sites van het ErasmusMC en de Rotterdam School of Management, RSM, niet getroffen zijn.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 10-11-2016 16:58 36

10-11-2016 • 16:58

36

Lees meer

Jonge internetcriminelen werken bij beveiligingsbedrijf bij wijze van Halt-straf
Jonge internetcriminelen werken bij beveiligingsbedrijf bij wijze van Halt-straf Nieuws van 2 februari 2018
Student verkreeg tentamens door op computersysteem hogeschool in te breken
Student verkreeg tentamens door op computersysteem hogeschool in te breken Nieuws van 28 februari 2017
Hacker maakt persoonsgegevens van Russisch consulaat in Nederland buit
Hacker maakt persoonsgegevens van Russisch consulaat in Nederland buit Nieuws van 13 december 2016
OM eist drie jaar cel tegen man die gestolen mailadressen inzette voor phishing
OM eist drie jaar cel tegen man die gestolen mailadressen inzette voor phishing Nieuws van 18 november 2016
Datalek Erasmus Universiteit omvatte medische en financiële gegevens
Datalek Erasmus Universiteit omvatte medische en financiële gegevens Nieuws van 18 november 2016
Student ontdekt lek in studenteninformatiesysteem HvA en UvA
Student ontdekt lek in studenteninformatiesysteem HvA en UvA Nieuws van 20 juni 2016
Belgische universiteit dient klacht in tegen tv-programma na hack
Belgische universiteit dient klacht in tegen tv-programma na hack Nieuws van 16 oktober 2014
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (36)

-Moderatie-faq
36
33
21
1
0
4
Wijzig sortering
eindgebruiker 10 november 2016 17:55
view-source:http://www.eur.nl/security/

"This website is powered by TYPO3 - inspiring people to share!
TYPO3 is a free open source Content Management Framework initially created by Kasper Skaarhoj and licensed under GNU/GPL.
TYPO3 is copyright 1998-2012 [...]

<meta name="generator" content="TYPO3 4.4 CMS" />"

[Reactie gewijzigd door eindgebruiker op 22 juli 2024 18:48]

MrRobot @eindgebruiker10 november 2016 21:46
4.5 heeft nog wel extended support mogelijkheden. 4.4 helaas niet.
Maar vergeet ook niet het groot aantal plugins/extensions dat verouderd kan zijn zonder update mogelijkheden.
JohanNL 10 november 2016 17:08
Dat is heel vervelend dat de adresgegevens van de Erasmus studenten en medewerkers nu in handen zijn van onbekende criminelen, alleen vraag ik mij af: wat willen ze er mee gaan doen?
Het is niet alsof het allemaal strikt geheim moet zijn dat jij op die universiteit zit, of dat dat nou heel vervelend is dat het mogelijk op internet gepubliceerd word of dat ze anders los geld willen hebben ( chantage )

Waarschijnlijk is het een gevalletje let's see if I can hack this site
Icekiller2k6 @JohanNL10 november 2016 17:26
Voordoen alsof je student X bent.. en subsidies aanvragen en dan doorsluizen naar een andere rekening bv.. zijn wel meer dingen die irritant zijn. Voor erasmus projecten moet je redelijk veel informatie over jezelf en je financiële situatie geven...
bombadil @JohanNL10 november 2016 17:27
Wat je een geheim adres hebt, gestalkt wordt door een ex, thuiswonend kind van een gezochte asielzoeker bent? Er zijn voldoende zeer zwaarwegende mogelijkheden denkbaar en met 25.000 adressen ook reëel. Er dient gewoon zorgvuldig mee te worden omgegaan en de manie van gedwongen alles maar online dient te worden betwijfeld.
CivLord @JohanNL11 november 2016 09:35
De gegevens kunnen gebruikt worden in fishing mails.
Je stuurt zogenaamd namens de universiteit een mailtje met het verzoek om in te loggen om je gegevens te bevestigen.
Hoe meer gegevens je mee kan zenden, des te betrouwbaarder lijkt het mailtje. Je kunt zelfs de prikkel om in te loggen groter maken door opzettelijk een fout in het huisnummer of postcode te maken.
Een link stuurt het slachtoffer naar een gespoofde inlogsite, waar ze na het ingeven van de inloggegevens met een foutmelding worden afgescheept. Vervolgens kan geprobeerd worden om met de opgegeven inloggegevens in te loggen bij bv. Facebook, Bol.com, etc.

Wanneer je ingevulde gegevens voor een afspraak buit gemaakt heb, kun je die ook gebruiken in je fishing mail. Bv. dat door een storing de tijden niet zijn geregistreerd en dat je in moet loggen om opnieuw de tijd door te geven.

Wanneer je de gegevens van genoeg mensen hebt zullen er genoeg mensen zijn die reageren en vaker dezelfde inloggegevens gebruiken.
dataworm @JohanNL10 november 2016 19:55
Mij ontgaat de noodzaak om het complete adressenbestand online te zetten. En blijkbaar niet versleuteld ook nog eens een keer.
Shinji @dataworm11 november 2016 16:21
Wat ik uit de berichtgeving opmaak gaat het niet om per se om privé adressen van medewerkers / studenten maar om eventueel een adres waar je op kantoor zit voor de medewerkers, naam en emailadres:
Het gaat om persoonsgegevens die op de website staan zoals bijvoorbeeld de adresgids van medewerkers en studenten (waaronder namen en emailadressen), maar ook informatie die is achtergelaten via webformulieren. Bijvoorbeeld webformulieren voor aanmeldingen van cursussen, evenementen, afspraakverzoeken, ziek- en betermeldingen etc.
Bron: http://www.eur.nl/security/vragen_antwoorden/

En wellicht dus adressen die via webformulieren zijn achter gelaten maar ik weet niet of die daar überhaupt gevraagd zijn.

[Reactie gewijzigd door Shinji op 22 juli 2024 18:48]

bosbeetle 10 november 2016 17:11
Ik heb wel eens gehoord dat er een boek was waar zomaar zonder pardon ieders adres in stond inclusief telefoonnummer. Daar kon je gewoon iedereen in opzoeken.

Al scheen er wel een opt-out mogelijkheid te bestaan, daar moest je voor betalen en dat noemden ze "geheim nummer".

[Reactie gewijzigd door bosbeetle op 22 juli 2024 18:48]

Anoniem: 51637 @bosbeetle10 november 2016 17:16
Ik heb wel eens gehoord dat er een boek was waar zomaar zonder pardon ieders adres in stond inclusief telefoonnummer. Daar kon je gewoon iedereen in opzoeken.
Klopt, maar dat was in de tijd dat phising nog gewoon met een hengel, draadje en haakje ging ;)
stresstak @bosbeetle10 november 2016 17:29
Ik heb wel eens gehoord dat er een boek was waar zomaar zonder pardon ieders adres in stond inclusief telefoonnummer. Daar kon je gewoon iedereen in opzoeken.
Toen werd er amper misbruik gemaakt van die gegevens.
Vanaf het moment dat er wel misbruik ontstond is menigeen anders gaan handelen.
Niet meer opnemen, geen onbekende nummers accepteren, bel-me-niet-registers etc

Telefoonnummers kun je overigens nog altijd opzoeken.
Anoniem: 525224 @bosbeetle10 november 2016 17:32
Ergens wordt inderdaad dit hele gebeuren ook veel te groot opgeblazen.
Dit komt ook wel een beetje vanuit de naïviteit. Álles digitaal is per definitie niet veilig en ga je nooit veilig krijgen.
Alles wat digitaal opgeslagen staat en op de een of andere manier aangesloten is.. moet je vanuit gaan dat het lekt.

Al in mijn jeugdigere jaren ging ik er bij voorbaat vanuit dat de TMF chats en al dat soort dingen ook al lang door andere mensen in te zien zijn. Ik ging ervan uit dat álles door een ander in te zien zou zijn.
Bastian1 @bosbeetle10 november 2016 22:43
Ermahgerd.
Nu maar hopen dat het zich gedigitaliseerd heeft en 'makkelijk' te gebruiken is als een soort database of zoekmachine? Dat zou helemáál een gekkenhuis veroorzaken. Al die spam die bij je op de deurmat kan belanden.... :Y)

Misschien even een wake-up voor uni's om de beveiliging door ICT studenten (als opdracht voor extra punten? :P) te laten testen en te updaten?
Arcanekitten 10 november 2016 17:01
Waar kun je eigenlijk je persoonlijke informatie kwijt in deze tijd zonder dat het mogelijk "gestolen" wordt?
Sergelwd @Arcanekitten10 november 2016 17:05
Ik vraag me af wanneer ze eens iets van verantwoordelijkheid gaan krijgen voor persoonsgegevens, op dit moment is het gewoon veel te makkelijk om met zo een hack weg te komen als instelling.
lordfragger @Sergelwd10 november 2016 17:57
In mei 2018, dan moeten bedrijven die persoonsgegevens bezitten en/of verwerken namelijk aan de GDPR (general data protection regulation) voldoen. Niet goed (als in veilig) omspringen met persoonsgegevens kan dat stevige boetes opleveren, tot 4% van de jaaromzet als ik me niet vergis.

Het zal nog wel enkele jaren, en enkele voorbeeldgevallen, kosten voordat je er echt resultaat van ziet, maar in het bedrijfsleven wordt toch best veel geïnvesteerd om aan deze regelgeving te voldoen.
Danslerr @lordfragger10 november 2016 18:39
Hoe zou in zo'n geval de boete berekend worden? Een universiteit (of andere onderwijsinstelling) heeft geen winstoogmerk of jaaromzet. Er blijft aan het einde van het (fiscaal) jaar alleen wat over onder de streep als alles goed gaat, maar dat geld wordt meestal weer gebruikt om de kwaliteit van het onderwijs te verbeteren.
sypie @Danslerr10 november 2016 20:48
Omzet is iets anders dan winst. Een onderwijsinstelling heeft wel degelijk een omzet, anders zouden ze helemaal niks met geld doen. Bij een onderwijsinstelling gaat er geld in en er gaat geld uit, dus is er omzet. 4% maximaal daarvan afdragen voor een boete is zonde geld voor zo'n instelling die het beter aan het verbeteren van onderwijs kan besteden.
WillySis @Sergelwd10 november 2016 17:26
Die vraag heb ik al meerdere keren gesteld, maar beboeten kan het melden in de weg staan.
In dit geval gaat het om gegevens die vrij gemakkelijk zijn te achterhalen en daar de Universiteit die niet zelf heeft overhandigd voldoen ze aan de wet.
Toch zou er eens een plicht moeten komen om de privacy gevoelige informatie op een deugdelijke en beveiligde manier op te slaan.
CAPSLOCK2000
@WillySis10 november 2016 19:26
Toch zou er eens een plicht moeten komen om de privacy gevoelige informatie op een deugdelijke en beveiligde manier op te slaan.
Die plicht is er al, alleen de controle daarop ontbreekt grotendeels. Controleren is ook moeilijk omdat alles zich afspeelt op servers van organisaties waar je als het goed is van buiten af geen toegang tot hebt. Eigenlijk zouden we inspecteurs rond moeten sturen, net zoals de brandweer gebouwen controleert op brandveiligheid.

Gegevens veilig opslaan is fundamenteel moeilijk want je applicatie moet er wel bij kunnen. Hoe goed je de database of de server ook beveiligd, als er een gat in de applicatie zit dan kan een aanvaller bij alle gegevens waar die applicatie bij kan.

In sommige gevallen kun je het oplossen door de toegang van de applicatie te koppelen aan de gebruiker. Je kunt de gegevens in de database bijvoorbeeld versleutelen met het wachtwoord van de gebruiker. Als een aanvaller dan toegang tot de applicatie of de database krijgt dan zijn de gegevens alsnog onleesbaar.
WillySis @CAPSLOCK200011 november 2016 15:54
De wet stelt volgens mij alleen dat je de gegevens ZORGVULDIG op moet slaan en dat het niet is toegestaan om de gegevens aan derden te verstrekken. of derden toegang te verstrekken tot de gegevens die onder de wet op de privacy vallen.

Over een beveiliging kan ik niets terugvinden. Als derden (hackers) zich zonder toestemming toegang verschaffen is men daar ook niet voor verantwoordelijk.

Elke beveiliging heeft zwakke punten (oa de gebruikers zelf), maar vaak is de beveiliging gewoon afwezig. Ga maar eens naar een sportvereniging en 90% kans dat je het hele ledenbestand zo kan downloaden.
CAPSLOCK2000
@WillySis11 november 2016 22:25
De wet stelt volgens mij alleen dat je de gegevens ZORGVULDIG op moet slaan (..) Over een beveiliging kan ik niets terugvinden.
Zo werkt de wet. De wet gaat niet in op de details. De wet zegt gewoon "zorgvuldig" en wat dat precies betekent moet je zelf maar bepalen aan de hand van de omstandigheden. Meestal betekent het dat je de data veilig moet opslaan. Het is onmogelijk om precies vast te leggen hoe je data moet beveiligen en hoe dat samenhangt met de omstandigheden. Dan zou je een heel boek over IT-beveiliging moeten toevoegen aan het wetboek, en waarschijnlijk is die informatie morgen al weer verouderd.
Daarom houdt de wet het simpel, de wet stelt dat je zorgvuldig moet zijn, en wat dat precies betekent ligt aan de context en de stand van zaken in de IT-beveiliging.
Mocht het ooit tot een rechtszaak komen dan zal een rechter bepalen of je zorgvuldig genoeg bent geweest of niet.
WillySis @CAPSLOCK200011 november 2016 23:16
Er is al eens een rechtszaak geweest. Een leerling kon alle NAW gegeven van de medeleerlingen en docenten inzien en één van de ouders heeft daar een rechtszaak van gemaakt. Volgens de rechter had de school de gegevens wel zorgvuldig opgeslagen. De leerling kon de gegevens immers niet veranderen, waardoor deze correct bleven. De leerling had ook niet de mogelijkheid om het complete bestand mee te nemen of te downloaden.

De rechter gaf de school wel de aanbeveling om te onderzoeken of het wellicht mogelijk was om de toegang voor de leerlingen te beperken tot hooguit de klasgenoten. Veder ging de school vrijuit.

Zorgvuldig opslaan werd dus uitgelegd als zo opslaan dat anderen het niet kunnen verwijderen of veranderen (analoog aan een papieren archief).
jozuf @GeoBeo10 november 2016 17:42
En die email die wordt niet opgeslagen?
Als je al ziet wat je kan met meta data en het herleiden naar een natuurlijke persoon denk ik dat het maar weinig uitmaakt voor degene die een beetje effort steekt in z'n hack. Zie bv
http://www.wsj.com/articl...when-name-isnt-1422558349

Alternatieven in digitale vorm waar je het over hebt, zoals bv Digid, kan natuurlijk ook gewoon gehacked worden. En dat is dan een single point of failure, of je daar nou echt mee opschiet...

[Reactie gewijzigd door jozuf op 22 juli 2024 18:48]

GeoBeo @jozuf11 november 2016 09:54
En die email die wordt niet opgeslagen?
Als je al ziet wat je kan met meta data en het herleiden naar een natuurlijke persoon denk ik dat het maar weinig uitmaakt voor degene die een beetje effort steekt in z'n hack. Zie bv
http://www.wsj.com/articl...when-name-isnt-1422558349

Alternatieven in digitale vorm waar je het over hebt, zoals bv Digid, kan natuurlijk ook gewoon gehacked worden. En dat is dan een single point of failure, of je daar nou echt mee opschiet...
Email kun je echt ontzettend makkelijk veilig(er) maken door diensten als protonmail te gebruiken of een gewone email service die PGP ondersteund.
jozuf @GeoBeo11 november 2016 10:04
Software/Databases kan je ook onzettend makkelijk veilig(er) maken, what's your point?
Dit is geen oplossing, maar een alternatief, die wellicht niet dezelfde problemen heeft maar ook gewoon zijn issues kent...
GeoBeo @jozuf11 november 2016 10:31
Software/Databases kan je ook onzettend makkelijk veilig(er) maken, what's your point?
Dit is geen oplossing, maar een alternatief, die wellicht niet dezelfde problemen heeft maar ook gewoon zijn issues kent...
Probleem: lijsten/databases met persoonsgegevens worden regelmatig gejat van publieke instellingen en bedrijven.

Oplossing deel 1: zorg ervoor dat geen lijst met persoonsgegevens opgeslagen wordt op 1 centrale plek met een single point of failure.
Oplossing deel 2: zorg ervoor dat onnodige persoonsgegevens (lees: bijna alle persoonsgegevens) überhaupt niet opgeslagen worden waar dan ook maar.
Oplossing deel 3: gebruik een (goed beveiligd) gedistribueerd systeem voor communicatie waar geen single point of failure bestaat. Daarmee los je dus op dat bij een hack.: niet gelijk alle persoonsgegevens van een grote groep mensen buitgemaakt kan worden en als dan toch alle emails ingelezen worden er niet direct 1 op 1 zonder heel veel moeite koppelingen gemaakt kunnen worden tussen persoon en persoonsgegevens. Dat maakt de waarde van de gestolen data op de zwarte markt geringer en zorgt er dus voor dat het hacken ervan minder interessant is.
SkyCloud @GeoBeo10 november 2016 21:50
Je krijgt wel een -1 maar je hebt volkomen gelijk!

Als je bekijkt hoe ze de mensen hun gegevens EISEN bij sommige eenvoudige dingen.

- Wil je een computerspel spelen, moet je een volledig profiel aanmaken met naam en toenaam eer je het spel kàn spelen.
- Wil je online iets bestellen dan MOET je meestal ook een profiel aanmaken, dit zogezegd om een betere dienstverlening te kunnen garanderen. Terwijl er gewoon een product van de ene locatie naar de andere moet verzonden worden. Dat kan ook gewoon zonder profiel met enkel je naam en adres.
-Zelfs voor extra garantie te krijgen ben je verplicht om je te registeren anders kan je fluiten naar de extra jaren (gratis) garantie.

Alsof iedereen nog naar een supermarkt zou gaan als je aan de kassa telkens je hele naam en adres zou moeten kenbaar maken vooraleer je mag afrekenen.

Ik ben er zeker van dat al onze gegevens zonder pardon worden doorverkocht ongeacht waar je ze achterlaat.
Hier in België verkopen de gemeentes de gegevens van hun inwoners ook door aan bedrijven. Om, nadat je verhuisd bent, geadresseerde post te krijgen van een verhuisfirma... (zelf meegemaakt).
En dan nog te zwijgen over de kans dat je gegevens worden buitgemaakt door een hack zoals in het artikel hierboven.
gabba25 @Arcanekitten10 november 2016 17:17
Het begint in elk geval bij het melden, waarbij bij elke mogelijke datalek er een meldplicht is ingevoerd. Doe je dat niet, dan zijn daar serieuze boetes aan verbonden. Dit is denk ik wel een goed begin.

https://autoriteitpersoon...ing/meldplicht-datalekken
Saven 10 november 2016 20:26
"een aanwijzing is dat het bijvoorbeeld om een cross site scripting-aanval ging".

Ben ik nu gek of lijkt me dit eerder een geval SQL injection?
ExIT @Saven10 november 2016 23:29
Dan zijn we samen gek. Als je 25.000 gegevens buit maakt met XSS dan ben je al een poos bezig met afluisteren via toegevoegde javascript. Zonder FTP toegang zal die JS alsnog met tweede graads SQL injectie zijn veroorzaakt overigens. Vergeet ook niet dat browsers XSS blokkeren tegenwoordig, de mainstream bezoeker pak je dan dus niet. Het lijkt me hier eerder om eerste graads SQL injectie te gaan. Mogelijk krijgen we dit nog te horen.

Edit: 2 downvotes? wat is er aan de hand? Ik ben het met Saven eens en leg ook uit waarom. Geheel ontopic en inhoudelijk. Kan iemand dit uitleggen?

[Reactie gewijzigd door ExIT op 22 juli 2024 18:48]

RalphM. 10 november 2016 18:06
Wel grappig dat ze nadrukkelijk zeggen dat hun huzarenstukjes in de rankings buiten schot zijn gebleven. Overigens netjes dat ze alles meteen gemeld hebben, ik heb andere ervaringen met deze universiteit wat betreft transparantie omtrent de rechten van studenten. (Lees: regelingen voor overgang van tientallen studenten achteraf intrekken wegens capaciteitsgebrek en bewijslast verwijderen van servers zodat diezelfde studenten opeens na een week na te zijn begonnen in het volgende jaar erachter komen dat ze zijn blijven zitten, en vervolgens niks hebben om op terug te vallen.)
CivLord @LeFlavius11 november 2016 10:46
Het staat wat vreemd, maar het is wel correct.
De eerste keer 'mogelijk' is dat er mogelijk gegevens zijn buitgemaakt. De tweede keer 'mogelijk' is dat het om gegevens van mogelijk 25.000 personen gaat.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq